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Kleine Anfrage 

der Abgeordneten Katja Hessel, Christian Dürr, Grigorios Aggelidis, Renata Alt, 
Jens Beeck, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), 

Dr. Marco Buschmann, Dr. Marcus Faber, Otto Fricke, Thomas Hacker, 

Katrin Helling-Plahr, Markus Herbrand, Dr. Christoph Hoffmann, 

Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Thomas L. Kemmerich, 

Dr. Marcel Klinge, Pascal Kober, Ulrich Lechte, Oliver Luksic, Till Mansmann, 
Alexander Müller, Frank Müller-Rosentritt, Bernd Reuther, Christian Sauter, 
Frank Schäffler, Matthias Seestern-Pauly, Judith Skudelny, 

Bettina Stark-Watzinger, Katja Suding, Michael Theurer, Stephan Thomae, 
Gerald Ullrich und der Fraktion der FDP 


Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen 


Durch das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeich¬ 
nungen sind elektronische Aufzeichnungssysteme grundsätzlich ab dem 1. Januar 
2020 durch eine zertifizierte technische Sicherheitseinrichtung (TSE) zu schüt¬ 
zen. Weiter wurde geregelt, dass die elektronischen Grundaufzeichnungen ein¬ 
zeln, vollständig, richtig, zeitgerecht, geordnet und unveränderbar aufzuzeichnen 
sind (Einzelaufzeichnungspflicht) und auf einem Speichermedium gesichert und 
verfügbar gehalten werden müssen. 

Mit der Verordnung zur Bestimmung der technischen Anforderungen an elektro¬ 
nische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr (Kassensi¬ 
cherungsverordnung - KassenSichV) werden die Anforderangen des § 146a der 
Abgabenordung (AO) präzisiert. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Techni¬ 
schen Richtlinien und Schutzprofilen die Anforderungen an das Sicherheitsmo¬ 
dul, das Speichermedium, die einheitliche digitale Schnittstelle sowie die organi¬ 
satorischen Anforderungen zur Vergabe der Seriennummer des elektronischen 
Aufzeichnungssystems festgelegt. 

Anwendungszeitpunkt 

Fraglich erscheint aus Sicht der Fragesteller, ob der vorgesehene Anwendungs¬ 
zeitpunkt zum Einsatz einer TSE am 1. Januar 2020 eingehalten werden kann. 
Das Problem besteht hauptsächlich darin, dass derzeit am Markt noch keine tech¬ 
nischen Sicherheitsmodule angeboten werden, weder zertifiziert noch unzertifl- 
ziert. Die für die TSE erforderliche interne Zeitquelle kann erst durch einen neuen 
Java-Card-Standard abgebildet werden, der erst in diesem Jahr verfügbar sein 
soll. Kassenhersteller können in der Folge nicht mit der Entwicklung nötiger An¬ 
passungen der Kassensoftware beginnen, die für die Einbindung des Sicherheits¬ 
moduls erforderlich ist. 
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Das BSI hat am 25. Juli 2018 das „Projekt 380 - Zertifizierung eines Sicherheits¬ 
moduls für Registrierkassen und weitere Aufzeichnungssysteme (Zersika)“ aus¬ 
geschrieben. Auftragsgegenstand ist die praktische Erprobung des neuartigen 
Konzeptes für die Zertifizierung eines Sicherheitsmoduls für Registrierkassen 
und weitere Aufzeichnungssysteme sowie die Mitwirkung bei der Optimierung 
des Konzeptes. 

Zunächst ist ein Zertifizierungsverfahren für eine bestehende Implementierung 
eines Sicherheitsmoduls für Registrierkassenanwendungen nach den vom BSI 
vorgegebenen Schutzprofilen BSI-CC-PP-x-y „Cryptographic Service Provider“ 
(CSP) oder BSI-CC-PP-x-y „Cryptographic Service Provider Light“ (CSP light) 
sowie BSI-CC-PP-x-y „Security Module Application for Electronic Record- 
lceeping Systems“ (SMAERS) nach CC zu durchlaufen. Anschließend ist zudem 
ein Zertifizierungsverfahren für ein Gesamtsystem einer technischen Sicherheits¬ 
einrichtung, bestehend aus Sicherheitsmodul, der zugehörigen Registrierkas¬ 
senanwendung, einer digitalen Schnittstelle zur Einbindung in ein Aufzeich¬ 
nungssystem sowie ein Speichermedium, nach der Technischen Richtlinie BSI 
TR-03153 „Technische Sicherheitseinrichtung für elektronische Aufzeichnungs¬ 
systeme“ (funktionale Anforderungen) durchzuführen. 

Die Laufzeit des Vertrages beträgt 15 Monate (vgl. https://ausschreibungen- 
deutschland.de/462419_Projekt_380_-_Zertifizierung_eines_Sicherheitsmoduls_ 
fuer Registrierkassen und weitere_2018 Bonn). 

Ausweislich der Begründung des Gesetzes zum Schutz vor Manipulationen an 
digitalen Grundaufzeichnungen hat das BSI geschätzt, dass etwa fünf Unterneh¬ 
men die TSE herstellen könnten (vgl. Gesetzesbegründung Ziffer V.4 zum Erfül¬ 
lungsaufwand für die Wirtschaft S. 16; Bundestagsdrucksache 18/9535). 

Veröffentlichung des noch ausstehenden Anwendungserlasses durch das Bundes¬ 
ministerium der Finanzen (BMF) 

Ausdrücklich wurde in der Gesetzesbegründung zu § 146a AO ausgeführt, dass 
die Regelungen §§148 und 158 AO unberührt bleiben. In den Beratungen des 
Bundestagsfmanzausschusses haben die Koalitionsfraktionen der CDU, CSU und 
SPD darauf ausdrücklich hingewiesen (Bundestagsdrucksache 18/10667, S. 21). 
„Danach könnten Steuerpflichtige auch weiterhin einen Antrag zur Bewilligung 
von Erleichterungen stellen, z. B. zum Absehen von der Verwendung einer zerti¬ 
fizierten technischen Sicherheitseinrichtung. Dies könnte insbesondere dann der 
Fall sein, wenn geschlossene Warenwirtschaftssysteme verwendet würden, bei 
denen Manipulationen an digitalen Grundaufzeichnungen mit an Sicherheit gren¬ 
zender Wahrscheinlichkeit ausgeschlossen seien, und die Besteuerung durch die 
Erleichterung nicht beeinträchtigt werde. Die Entscheidung über einen Antrag 
nach § 148 AO liege im pflichtgemäßen Ermessen der zuständigen Finanzbe¬ 
hörde. Das Bundesministerium der Finanzen werde gebeten, in Abstimmung mit 
den obersten Finanzbehörden der Länder den bundeseinheitlichen Anwendungs¬ 
erlass zu § 148 AO entsprechend zu überarbeiten.“ 

Im Hinblick auf den Anwendungszeitpunkt 1. Januar 2020 benötigen die Unter¬ 
nehmen Planungssicherheit, ob diese ggf. mit Aussicht auf Erfolg einen Antrag 
auf Bewilligung von Erleichterungen in Form einer Befreiung von der Nutzung 
einer zertifizierten technischen Sicherheitseinrichtung oder von der Belegausga¬ 
bepflicht gemäß § 148 AO stellen können. 

Aufzeichnung von Transaktionen (§ 2 KassenSichV) 

Für jeden aufzeichnungspflichtigen Geschäftsvorfall oder anderen Vorgang im 
Sinne § 146a Absatz 1 Satz 1 AO muss von dem eingesetzten elektronischen Auf¬ 
zeichnungssystem unmittelbar, d. h. zeitgleich, eine neue Transaktion gestartet 
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werden. Die Transaktion dient der Zusammenführung von Daten in einem ein¬ 
heitlichen Prozess, wodurch die protokollierten einzelnen digitalen Grundauf¬ 
zeichnungen nachfolgend nicht mehr manipuliert werden können. 

Gemäß § 2 KassenSichV muss die Transaktion 

1. den Zeitpunkt des Vorgangbeginns, 

2. eine eindeutige und fortlaufende Transaktionsnummer, 

3. die Art des Vorgangs, 

4. die Daten des Vorgangs, 

5. die Zahlungsart, 

6. den Zeitpunkt der Vorgangsbeendigung oder des Vorgangsabbruchs, 

7. einen Prüfwert sowie 

8. die Seriennummer des elektronischen Aufzeichnungssystems oder die Serien¬ 
nummer des Sicherheitsmoduls enthalten. 

Ausweislich der TR-03153 erfolgt die Protokollierung eines aufzuzeichnenden 
Vorgangs mit der TSE in mehreren Phasen und Absicherungsschritten. In der Re¬ 
gel bestehen diese Phasen aus Beginn der Transaktion (StartTransaction), Aktua¬ 
lisierung der Transaktion (UpdateTransaction) und Beendigung der Transaktion 
(FinishTransaction). Eine Aktualisierung der Transaktion ist dann erforderlich, 
wenn nach dem Start und vor Beendigung der Transaktion neue Anwendungsda¬ 
ten entstehen. 

Ausweislich der Begründung von § 2 KassenSichV sind andere Vorgänge solche, 
die unmittelbar durch Betätigung der Kasse erfolgen (z. B. Tastendruck, Scan¬ 
vorgang eines Barcodes), unabhängig davon, ob sich daraus ein Geschäftsvorfall 
entwickelt. Das heißt durch jede Betätigung der Kasse erfolgt eine Protokollie¬ 
rung. 

In der Praxis sind Prozesse vorhanden, in denen im Rahmen der Erfassung eines 
Geschäftsvorfalls unterschiedliche elektronische Aufzeichnungssysteme - beim 
sog. Durchbedienen „reine“ Waagen und Waagen mit Kassenfünktion - mit di¬ 
vergierenden Anforderungen eingebunden sind. 

Arbeiten an einer Neufassung der KassenSichV 

Ausweislich der Protokollerklärung des Bundesministeriums der Finanzen im 
Zuge des Verordnungsgebungsverfahrens (vgl. Beschlussempfehlung und Be¬ 
richt des Finanzausschusses vom 31. Mai 2017, Bundestagsdrucksache 18/12581, 
S. 6) soll der Anwendungsbereich der Kassensicherungsverordnung auf betrugs¬ 
anfällige kassenähnliche Systeme ausgedehnt werden. Das Bundesministerium 
der Finanzen hatte angestrebt, diese Arbeiten im ersten Flalbjahr 2018 abzuschlie¬ 
ßen. 

Bürokratiekosten 

Im Rahmen der Abschätzung der Bürokratiekosten wurde angenommen, dass der 
Preis einer zertifizierten technischen Sicherheitseinrichtung etwa 10 Euro pro 
Einheit betragen wird (vgl. Gesetzesbegründung Gesetz zum Schutz vor Manipu¬ 
lationen an digitalen Grundaufzeichnungen Ziffer V.4 zum Erfüllungsaufwand 
für die Wirtschaft S. 16; Bundestagsdrucksache 18/9535). 



Drucksache 19/7974 


- 4 - 


Deutscher Bundestag - 19. Wahlperiode 


Wir fragen die Bundesregierung: 

1. Wann ist mit dem Abschluss des neuartigen Zertifizierungsverfahrens zu 
rechnen? 

2. Wurden beim BSI weitere Anträge zur Zertifizierung von Sicherheitsmodu¬ 
len für Registrierkassen und weitere Aufzeichnungssysteme gestellt? 

Wenn ja, wurde mit den Verfahren bereits begonnen, oder werden diese erst 
nach Abschluss des Zersika-Projektes durchgeführt? 

3. Kann nach Ansicht der Bundesregierung unter Berücksichtigung des noch 
erforderlichen Entwicklungsbedarfs der Kassenhersteller für die Anpassun¬ 
gen der Kassensoftware, und der sich anschließenden „Ausrollung“ in den 
Markt, der Termin 1. Januar 2020 realistisch absehbar gehalten werden? 

4. Aus welchen Gründen wird eine Zertifizierung nach BSI-CC-PP-x-y „Cryp- 
tographic Service Provider Light“ (CSP light) alternativ ermöglicht? 

5. Soll für spätere Zertifizierungsverfahren auch diese Alternative (siehe 
Frage 4) bestehen? 

Wenn nicht, welche Konsequenzen sind damit auch im Flinblick auf die Si¬ 
cherheitseinrichtungen verbunden, die im Rahmen von Zersika zertifiziert 
wurden? 

6. Ist im Rahmen des Zersika-Projektes eine Erprobung der TSE hinsichtlich 
von Prozessen, Schnittstellen und Funktionalitäten im Gesamtablauf Kasse — 
zertifizierte technische Sicherheitseinrichtung sowie hinsichtlich Exporte für 
Prüfungszwecke auf Praxis- und Massentauglichkeit sowie auf mögliche 
Fehlerquellen vorgesehen? 

7. Wann ist mit der Veröffentlichung des Anwendungserlasses zu § 148 AO zu 
rechnen? 

8. Mit wie vielen Updates jeder Transaktion ist durchschnittlich vor dem Ab¬ 
schluss einer Transaktion zu rechnen? 

9. Welche Datenvolumina werden dadurch erzeugt, und wie wirkt sich die ver¬ 
mehrte komplexe Kommunikation zwischen der TSE und mindestens einem 
elektronischen Aufzeichnungssystem auf die Anforderungen an die Leis¬ 
tungsfähigkeit von elektronischen Aufzeichnungssystemen und auf die Ver¬ 
arbeitungsdauer und damit auf die Dauer des Bedienvorgangs aus? 

10. Wie wird sichergestellt, dass bei Nutzung unterschiedlicher Arten von elek¬ 
tronischen Aufzeichnungssystemen im Verbund wie im Rahmen des sog. 
Durchbedienens, z. B. durch das Update-Erfordernis keine faktische Erwei¬ 
terung des Anwendungsbereiches von § 1 KassenSichV auf andere elektro¬ 
nische Aufzeichnungssysteme erfolgt? 

11. Wie wird sichergestellt, dass Geschäftsprozesse, welche sich seit Jahrzehn¬ 
ten bewährt haben, auch in Zukunft zur Anwendung kommen können? 

12. Wann ist mit der Veröffentlichung eines Referentenentwurfs der Neufassung 
der KassenSichV zu rechnen? 

13. Gab es im Rahmen der Erstellung der Technischen Richtlinien oder des 
Zersika-Projektes Erkenntnisse, die einen Nachbesserungsbedarf über die 
Erweiterung des Anwendungsbereiches hinaus erforderlich machen? 

14. Kann die in der Vorbemerkung genannte Kostenschätzung von 10 Euro Bü¬ 
rokratiekosten aufgrund der bisherigen Erfahrungen u. a. im Rahmen des 
Zersika-Projektes aufrechterhalten werden, oder ist absehbar, dass sich die 
Kosten für eine zertifizierte technische Sicherheitseinrichtung erhöhen wer¬ 
den? 

Wenn ja, mit welchen Kosten ist nunmehr zu rechnen? 
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15. Ist aus heutiger Bewertung bzw. Auslegung der Richtlinien und Ausschrei¬ 
bungen denkbar bzw. geplant, dass eine Sicherheitseinrichtung zertifiziert 
werden könnte, die filialisierte Handelsunternehmen zentral („cloud- 
basiert“), das heißt ohne TSE-Hardware-Module in einer Filiale/an der Kasse 
betreiben? 

Berlin, den 30. Januar 2019 

Christian Lindner und Fraktion 





Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com 
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de 
Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de 

ISSN 0722-8333 



